2011/1/26 Andrea Dainese <andrea.dain...@gmail.com> > 2011/1/25 luca comes <lucaco...@hotmail.it>: > > [...] Mi si chiede in via provvisoria di fare in modo > > che le due reti si possano vedere (questo non è un problema dispongo di > un > > Cat 3750 in centro stella) ma allo stesso tempo mantengano le due uscite > > internet separate. > > Diversi mesi fa ho affrontato un problema simile e l'ho risolto con > una route-map. Nel mio caso il problema era un webserver che migrava > di città e doveva essere temporaneamente accessibile da entrambi gli > IP pubblicati a MI e PD. Detta in modo molto stringato (i dettagli li > lascio a te), ho creato un tunnel tra PD e MI, il firewall di MI > nattava l'IP pubblico con un 192.168.2.X mentre il webserver era > raggiungibile da PD con 192.168.1.X. A questo punto il router più > vicino al webserver (end-point del tunnel) si occupava, mediante > route-map, di far uscire le connessioni da/a 192.168.2.X verso MI e il > restante verso PD. Sempre lo stesso router si occupava anche di > nattare 192.168.2.X su 192.168.1.X. > Sicuramente ci sono altre soluzioni, e non è detto che questa sia > quella che fa per te. > > Andrea > -- > To respect the cat is the beginning of the aesthetic sense. - Erasmus > Darwin > > http://www.linkedin.com/in/adainese > _______________________________________________ > http://www.areanetworking.it > http://www.areanetworking.it/blog > Cug@ml.areanetworking.it > http://ml.areanetworking.it/mailman/listinfo/cug
Ciao Luca, Concordo con Andrea. La soluzione più adatta è con le route-map. Va applicata in ingresso sulle interface VLAN che devono uscire sulla seconda linea. ip access-list extended aclRM-2internet ! applichi un'eccezione alla route-map per tutte le destinazioni interne deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 ! e poi vai permit ip any any route-map rm2internet match ip address aclRM-2internet ! la seconda uscita internet set ip next-hop 80.1.1.1 int vlan 500 description LAN-UTENTI-SECONDO ACCESSO ip policy route-map rm2internet I 3750 potrebbero non supportarlo con la configurazione di base (mi pare che sia necessario impostare un parametro che mi pare fosse "capability", e riavviare la macchina). Ivan
_______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug